Java - 公共密鑰基礎設施在通訊器中的實現

Question

我有一個任務是用PKI編寫一個通信器。我考慮X.509證書的實現（Java） - 我的意思是允許數據/消息機密性的SSL/TLS，以及用於消息完整性的消息驗證代碼。關於這些我已經閱讀過一些文獻，而且都是理論性的。我不確定我是否正確思考。任何人都能很好地理解PKI的想法嗎？能給我任何建議嗎（例如網站在哪裏可以很好的解釋PKI的實現）？

Answer 1

由於ntoskrnl的評論，這是很難做到完全正確的，甚至是專家。

這是一個基本的高層次看PKI則需要SSL連接：

• 一個CA根密鑰和相應的自簽名的證書。
• 中間CA密鑰和由CA根密鑰簽名的證書（這 是可選的）。
• 服務器標識密鑰和由 中間CA或CA根簽署的證書。
• 由服務器信任的某個CA簽署的客戶端身份密鑰和證書。對於您的 學術工作，您可能希望此CA與您創建的CA相同。客戶端身份只在需要雙向（相互）SSL時才需要，服務器在客戶端進行身份驗證。

運行於像Tomcat這樣可以配置爲SSL的Web服務。在服務器端，身份將指向服務器密鑰證書。對於雙向SSL，服務器上還會有可信CA證書的列表或密鑰庫。除非客戶的證書由其中一個可信CA簽署，否則服務器將不允許客戶端進行連接。

在客戶端，您還需要可信CA證書列表或密鑰庫，服務器證書必須由這些CA的一個簽名。建立SSL連接時，Java將使用客戶端ID密鑰和證書以及信任密鑰庫。如果您搜索堆棧溢出，您應該找到大量的Java SSL連接示例。

要創建PKI，OpenSSL是一個很好用的工具。這是一個實用的網站：

https://pki-tutorial.readthedocs.org/en/latest/simple/index.html

一鍵及其相應的證書，你首先創建一個私有密鑰，然後創建一個證書籤名請求（CSR）。然後通過CA密鑰簽署CSR，併成爲證書。證書包含與用於創建CSR的私鑰對應的公鑰。

的Mac，這裏有HMAC的Java示例：HMAC-SHA1: How to do it properly in Java?